Même lorsque le protocole web de votre site ArcGIS Server est défini sur HTTPS Only (HTTPS uniquement), il est toujours potentiellement vulnérable face à une catégorie d’attaques de sécurité connues sous le nom de stripping SSL. Ce type d’attaque exploite un manque de communication du site aux navigateurs web de vos utilisateurs, en indiquant à ces navigateurs de n’utiliser que les requêtes HTTPS. Si un pirate exécute une fausse copie de votre site ArcGIS Server sur le port 80 et intercepte une requête HTTP initiale depuis le navigateur d’un utilisateur, il peut potentiellement recevoir des informations de sécurité compromettantes de la part de l’utilisateur.
Pour éviter tout risque de vulnérabilité face aux attaques de type SSL stripping, le protocole HSTS configure votre site pour rétablir cette communication avec les navigateur Web des utilisateurs. HSTS peut être activé sur un site ArcGIS Server 11.3.
Activer HSTS dans votre site
Depuis la version 10.6.1, la chaîne de configuration de la sécurité du répertoire d’administrateur du site ArcGIS Server contient une propriété booléenne HSTSEnabled, qui est définie sur false par défaut. Lorsque cette propriété est mise à jour sur true, le site ArcGIS Server indique aux navigateurs Web de n’envoyer que des requêtes à l’aide du protocole HTTPS sécurisé. Ceci s’effectue à l’aide d’un en-tête, Strict-Transport-Security, qui indique au navigateur d’utiliser strictement des requêtes HTTPS pendant le laps de temps suivant défini par sa propriété max-age (spécifiée en secondes). Cette durée est définie sur un an : Strict-Transport-Security: max-age=31536000.
Attention :
Si vos utilisateurs accèdent à votre site ArcGIS Server via votre ArcGIS Web Adaptor ou un serveur proxy inverse, le fait d’appliquer le protocole HSTS sur votre site risque d’avoir des conséquences imprévues. Conformément à l’en-tête envoyé par le protocole HSTS, les navigateurs web des navigateurs n’envoient que des requêtes HTTPS à ces périphériques ; si le serveur web hébergeant votre ArcGIS Web Adaptor ou le serveur proxy inverse héberge simultanément d’autres applications n’utilisant pas HTTPS, les utilisateurs ne seront pas en mesure d’accéder à ces autres applications. Vérifiez qu’il n’existe pas de telles dépendances avant d’activer HSTS.
Pour activer HSTS dans votre site ArcGIS Server, procédez comme suit :
- Connectez-vous au répertoire administrateur ArcGIS Server à l’adresse https://gisserver.domain.com:6443/arcgis/admin.
- Accédez à Sécurité > Configuration > Mettre à jour.
- Si le paramètre Protocol (Protocole) n’est pas déjà défini sur HTTPS Only (HTTPS uniquement), définissez-le maintenant.
- Lorsque la communication HTTP est désactivée par le protocole du site, l’option HTTP Strict Transport Security (HSTS) enabled (Protocole HSTS activé) est disponible. Cochez cette case pour activer le protocole HSTS, et cliquez sur Update (Mettre à jour).
- Une fois que le site du serveur redémarre, il commence à renvoyer l’en-tête Strict-Transport-Security vers tous les navigateurs Web envoyant des requêtes au site.
L’option HTTP Strict Transport Security peut également être activée sur un portail ArcGIS Enterprise .
Vous avez un commentaire à formuler concernant cette rubrique ?